※サーバーのIPアドレス・契約者情報・ログの生データは当サイトでは公開しません。 法的手続きを通じて得られた事実の要約のみ記載しています。
なぜORIGINサーバーなのか
被害者が操作していた「取引画面」は、見た目は本物の取引所に似せてある。 だが画面上の数字は、どこかのサーバーが返しているただのデータだ( 第3回)。
ドメインの前段にはCDN(配信ネットワーク)がかかっていることが多く、 表向きのIPだけでは誰がホストしているかは分からない。 そこで調査の焦点を、実際にアプリやAPIを動かしているORIGINサーバー—— いわゆる「裏側の実体」——に移した。
ORIGINを特定できれば、ホスティング会社・サーバー事業者に対して、利用者情報・ログ・アクセス記録の開示請求が可能になる。
対象となった取引所(8件)
被害者情報で確認された名称・ドメインを起点に、インフラ調査を実施した。 一覧は取引所一覧ページに整理済みだ。
- Cyber Exchange(サイバーエクスチェンジ)
- FIGHT MARKET(ファイトマーケット)
- GOLDEN CROSS(ゴールデンクロス)
- DreamSwap(ドリームスワップ)
- Hyper Core(ハイパーコア)
- Inter Exchange(インターエクスチェンジ)
- Alpha Trade(アルファトレード)
- Just Market(ジャストマーケット)
名称が違っても、同じ系統のシステムが使い回されている可能性があった。 ORIGINの照合は、その仮説を検証するための第一歩でもある。
ORIGINサーバーの特定——手順の概要
当サイトでは技術的な詳細(IP・ホスト名の一覧)は公開しないが、調査の流れは次のとおりだ。
- 各ドメインのDNS・証明書・HTTP応答を調査し、CDNの背後を特定
- ORIGIN(実体サーバー)のホスティング事業者を突き止める
- 複数取引所間で同一インフラ・同一事業者が使われていないか照合
- 開示請求の宛先となるサーバー会社を確定
サーバー会社へ——開示請求を送付
ORIGINの特定が終わった段階で、該当するサーバー会社(ホスティング事業者)に対し、 利用者情報・アクセスログ・関連記録の開示請求を送付した。
第8〜9回
LINE・AIS——チャット運用側のIPと接続実態。
第10回(本回)
偽取引所のORIGINサーバー——システムの実体インフラ。
第3回との接続
笹田龍成と報告される取引システム構築の裏付け調査へ。
次回予告 — 第11回:サーバーログから作成者へ
送付した開示請求——その結果が返ってきた。 サーバー会社からの開示が成功し、サーバーログに基づくファイルまで入手できたという。
ファイル内部のメタデータから作成者の特定が進み、 フィンガープリント解析ではMac端末の端末IDまで手がかりが得られた—— 第11回で報告する。
同じ取引所名・同じ画面に心当たりがある方へ
使われたURL、ログイン画面のスクリーンショットなど、オープンチャットで共有を(公開は不要です)。